Questions d'ordre général

Qu'est-ce qu'AWS Single Sign-On (AWS SSO) ?

AWS SSO est un service AWS qui vous permet de gérer facilement et de manière centralisée l'accès à plusieurs comptes AWS et applications métier et de fournir aux utilisateurs un accès par authentification unique à tous leurs comptes et applications attribués depuis un seul emplacement. Avec AWS SSO, vous pouvez gérer facilement et de façon centralisée l’accès par SSO et les autorisations utilisateurs de l’ensemble de vos comptes AWS Organizations. AWS SSO vous permet de créer et de gérer les identités des utilisateurs dans la base d'identité d'AWS SSO, ou de vous connecter facilement à votre source d'identité existante, notamment Microsoft Active Directory, Okta Universal Directory et Azure Active Directory (Azure AD)

Quels sont les avantages d'AWS SSO ?

Vous pouvez utiliser AWS SSO pour accorder et gérer rapidement et facilement l'accès de vos employés à plusieurs comptes AWS, à des applications SAML basées sur le cloud (par ex., Salesforce, Office 365 et Box) et à des applications internes conçues sur mesure, le tout depuis un seul et même endroit. Les employés peuvent être plus productifs en se connectant avec les identifiants de leurs comptes professionnels existants sur Active Directory ou avec ceux que vous configurez dans AWS SSO pour leur permettre d’accéder à leurs applications depuis leur portail utilisateur personnalisé. Désormais, les employés n'ont plus besoin de mémoriser plusieurs jeux d'informations d'identification ni les URL d'accès aux applications cloud. De plus, les nouveaux employés sont productifs dès le premier jour. Les utilisateurs que vous ajoutez au groupe approprié dans votre annuaire ont automatiquement accès aux comptes et applications activés pour les membres du groupe. Vous bénéficiez d'une meilleure visibilité sur l'utilisation des applications cloud, car vous pouvez surveiller et contrôler les activités de connexion de façon centralisée depuis AWS CloudTrail.

Quels sont les problèmes résolus par AWS SSO ?

AWS SSO élimine la complexité administrative des solutions d'authentification unique (SSO) personnalisées que vous utilisez pour allouer et gérer les identités entre les comptes AWS et les applications métier. Lorsque vous utilisez plusieurs comptes AWS et que vous ajoutez des comptes régulièrement, la configuration de SSO avec Active Directory Federation Services (AD FS) pour accéder à ces comptes nécessite l'apprentissage du langage de programmation personnalisé basé sur les revendications AD FS. Vous devez également préparer les comptes AWS avec les autorisations nécessaires pour pouvoir accéder à ces comptes. AWS SSO est disponible sans frais supplémentaires et réduit la complexité liée à la configuration répétitive et à la gestion disparate en s'intégrant étroitement à AWS. Si vous utilisez des mots de passe distincts pour accéder à différents comptes AWS ou différentes applications cloud, AWS SSO simplifie l'expérience utilisateur et améliore la sécurité en éliminant les mots de passe individuels nécessaires pour chaque compte AWS ou application métier basée sur le cloud. Le service résout également le problème de la visibilité limitée de l'accès à vos applications cloud en s'intégrant à AWS CloudTrail et en fournissant un seul emplacement pour vous permettre de contrôler l'accès par authentification unique (SSO) aux comptes AWS et aux applications SAML basées sur le cloud, telles qu'Office 365, Salesforce et Box.

Pourquoi utiliser AWS SSO ?

Nous vous recommandons d'utiliser AWS SSO pour aider vos employés à gagner en productivité rapidement en leur accordant un accès aux comptes AWS et aux applications métier basées sur le cloud, sans écrire de scripts personnalisés ni investir dans des solutions SSO universelles. Nous vous conseillons également d'utiliser AWS SSO pour réduire la complexité administrative et le coût de configuration et de gestion de l'accès par authentification unique (SSO).

AWS SSO permet à vos employés d'accéder à vos comptes AWS et aux applications dont ils ont besoin dans le cadre de leur travail depuis le portail utilisateur AWS SSO, peu importe où ces applications ont été créées et où elles sont hébergées.

Que puis-je faire avec AWS SSO ?

Vous pouvez utiliser AWS SSO pour accorder rapidement et facilement à vos employés un accès à des comptes AWS gérés à l'aide d'AWS Organizations, à des applications métiers basées sur le cloud (par ex., Salesforce, Office 365 et Box) et à des applications personnalisées prenant en charge le protocole SAML (Security Assertion Markup Language) 2.0. Les employés peuvent se connecter à l'aide des identifiants de leurs comptes professionnels ou des identifiants qu’ils ont eux-mêmes configurés dans AWS SSO pour accéder à leurs applications métiers depuis un portail utilisateur unique. AWS SSO vous permet également de contrôler l'accès des utilisateurs aux services cloud à l'aide d'AWS CloudTrail.

À qui s'adresse AWS SSO ?

AWS SSO s'adresse aux administrateurs qui gèrent plusieurs comptes AWS et applications métier, qui souhaitent gérer de façon centralisée l'accès des utilisateurs à ces services de cloud et qui désirent mettre à disposition des employés un endroit unique pour leur permettre d'accéder à ces comptes et applications sans qu'ils aient besoin de mémoriser un nouveau mot de passe.

Comment démarrer avec AWS SSO ?

En tant que nouveau client d'AWS SSO, vous devez suivre la procédure suivante :

  1. Connectez-vous à AWS Management Console depuis le compte principal de votre compte AWS et accédez à la console AWS SSO.
  2. Sélectionnez l'annuaire de stockage des identités de vos utilisateurs et de vos groupes depuis la console AWS SSO. AWS SSO vous fournit un annuaire par défaut que vous pouvez utiliser pour gérer les utilisateurs et les groupes dans AWS SSO. Vous avez également la possibilité de changer d'annuaire et de vous connecter à un annuaire Microsoft AD en cliquant sur une liste d'instances Microsoft AD et AD Connector gérées qu’AWS SSO découvre automatiquement dans votre compte. Si vous désirez vous connecter à un annuaire Microsoft AD, consultez Premiers pas avec AWS Directory Service.
  3. Accordez aux utilisateurs un accès par authentification unique (SSO) aux comptes AWS de votre organisation en sélectionnant les comptes AWS dans une liste pré-remplie par AWS SSO, puis en choisissant les utilisateurs ou groupes dans votre annuaire, ainsi que les autorisations que vous souhaitez leur accorder. 
  4. Accordez aux utilisateurs un accès aux applications métiers basées sur le cloud en :
    1. Sélectionnant l'une des applications de la liste des applications pré-intégrées prises en charge dans AWS SSO
    2. Configurant l'application selon les instructions appropriées
    3. Sélectionnant les utilisateurs ou groupes qui doivent pouvoir accéder à cette application.
  5. Communiquez à vos utilisateurs l'adresse de connexion Web AWS SSO générée lorsque vous avez configuré le répertoire. Il en ont besoin pour s'inscrire à AWS SSO ainsi que pour accéder aux comptes et aux applications métiers.

Combien coûte AWS SSO ?

AWS SSO est disponible sans frais supplémentaires.

Dans quelles régions AWS le service AWS SSO est-il disponible ?

Consultez le tableau des régions AWS pour connaître la disponibilité d'AWS SSO par région.

Prise en charge des sources d'identité et des applications

Quelles sources d'identité puis-je utiliser avec AWS SSO ?

Avec AWS SSO, vous pouvez créer et gérer les identités des utilisateurs dans la base d'identités d'AWS SSO, ou vous connecter facilement à votre source d'identité existante, notamment Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) ou un autre fournisseur d'identité pris en charge. Consultez le guide de l'utilisateur AWS SSO pour en savoir plus.

Puis-je connecter plusieurs sources d'identité à AWS SSO ?

Non. À tout moment, vous ne pouvez avoir qu'un seul répertoire ou un seul fournisseur d'identité SAML 2.0 connecté à AWS SSO. Cependant, vous pouvez remplacer la source d'identité qui est connectée par une autre.

Quels fournisseurs d'identité SAML 2.0 puis-je utiliser avec AWS SSO ?

Vous pouvez connecter AWS SSO à la plupart des fournisseurs d'identité SAML 2.0, comme Okta Universal Directory ou Azure Active Directory. Consultez le guide de l'utilisateur AWS SSO pour en savoir plus.

Comment allouer des identités dans AWS SSO à partir de mon fournisseur d'identité existant ?

Les identités provenant de votre fournisseur d'identité existant doivent être allouées dans AWS SSO avant que vous ne puissiez attribuer des autorisations. Vous pouvez synchroniser automatiquement les informations d'utilisateurs et de groupes à partir d'Okta Universal Directory, Azure AD, OneLogin et PingFederate, grâce à la norme SCIM (System for Cross-domain Identity Management). Pour les autres fournisseurs d'identité, vous pouvez allouer des utilisateurs à partir de votre fournisseur d'identité à l'aide de la console AWS SSO. Consultez le guide de l'utilisateur AWS SSO pour en savoir plus.

Puis-je automatiser la synchronisation d'identités à partir de mon fournisseur d'identité dans AWS SSO ?

Oui. Si vous utilisez Okta Universal Directory, Azure AD, OneLogin ou PingFederate, vous pouvez utiliser SCIM pour synchroniser automatiquement les informations d'utilisateurs et de groupes à partir de votre fournisseur d'identité dans AWS SSO. Consultez le guide de l'utilisateur AWS SSO pour en savoir plus.

Comment connecter AWS SSO à mon Microsoft Active Directory ?

Vous pouvez connecter AWS SSO à votre annuaire Active Directory (AD) sur site ou à un annuaire AD Microsoft géré par AWS en utilisant AWS Directory Service. Consultez le guide de l’utilisateur AWS SSO pour en savoir plus.

Je gère mes utilisateurs et mes groupes dans l’annuaire Active Directory sur site. Comment puis-je exploiter ces utilisateurs et groupes dans AWS SSO ? 

Vous avez deux options pour vous connecter à l'annuaire Active Directory hébergé sur site à AWS SSO : (1) utiliser le AD Connector, ou (2) utiliser une relation d'approbation AD Microsoft gérée par AWS.

AD Connector connecte simplement votre Active Directory existant sur site à AWS. AD Connector est une passerelle d'annuaire avec laquelle vous pouvez rediriger les demandes d'annuaire vers votre Microsoft Active Directory sur site sans mettre en cache aucune information dans le cloud. Pour connecter un annuaire sur site à l'aide de AD Connector, consultez le guide d'administration d'AWS Directory Service.

AWS Managed Microsoft AD permet de configurer et d'exécuter facilement Microsoft Active Directory dans AWS. Il peut être utilisé pour configurer une relation d'approbation de forêt entre votre annuaire sur site et AWS Managed Microsoft AD. Pour configurer une relation d’approbation, consultez le guide d’administration d’AWS Directory Service.

Je gère des utilisateurs et des groupes dans AWS Identity and Access Management (IAM). Puis-je utiliser mes utilisateurs et groupes IAM dans AWS SSO ?

AWS SSO ne prend pas en charge les utilisateurs et les groupes AWS IAM à l'heure actuelle.

Puis-je utiliser mes groupes d'utilisateurs Amazon Cognito comme source d'identité dans AWS SSO ?

Amazon Cognito est un service qui vous permet de gérer les identités pour vos applications d'interface avec les clients ; il ne s'agit pas d'une source d'identité prise en charge dans AWS SSO. Vous pouvez créer et gérer les identités de vos employés dans AWS SSO ou dans votre source d'identité externe, notamment Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) ou un autre fournisseur d'identités pris en charge.

Le service AWS SSO prend-il en charge les interfaces de navigateur, de ligne de commande et mobile ?

Oui, vous pouvez utiliser AWS SSO pour contrôler l'accès à AWS Management Console et CLI v2. AWS SSO permet à vos utilisateurs d'accéder à la CLI et à AWS Management Console via une expérience d’authentification unique. L'application AWS Mobile Console prend également en charge AWS SSO afin que vous obteniez une expérience d’authentification cohérente à travers les interfaces de navigateur, mobiles et de ligne de commande.

Quelles applications cloud puis-je connecter à AWS SSO ?

Vous pouvez connecter les applications suivantes à AWS SSO :

  1. Applications intégrées à AWS SSO: les applications intégrées à AWS SSO telles queSageMaker Studio et IoT SiteWise utilisent AWS SSO pour l'authentification et fonctionnent avec les identités que vous avez dans AWS SSO. Aucune configuration supplémentaire n'est nécessaire pour synchroniser les identités dans ces applications ou pour configurer la fédération séparément.
  2. Applications SAML pré-intégrées : AWS SSO est pré-intégré avec les applications métier courantes. Pour obtenir la liste complète de ces applications, reportez-vous à la console AWS SSO.
  3. Applications SAML personnalisées : AWS SSO prend en charge les applications qui permettent la fédération d'identité en utilisant SAML 2.0. Vous pouvez activer AWS SSO pour prendre en charge ces applications à l'aide de l'assistant d'application personnalisé.

Accès par authentification unique (SSO) aux comptes AWS

Quels comptes AWS puis-je connecter à AWS SSO ?

Vous pouvez ajouter un compte AWS géré à AWS SSO en utilisant AWS Organizations. Vous devez activer toutes les fonctionnalités de vos organisations pour gérer vos comptes SSO.

Comment configurer SSO sur les comptes AWS d'une unité d'organisation (UO) au sein de mon organisation ?

Vous pouvez sélectionner des comptes au sein de l'organisation ou filtrer les comptes par UO.

Comment contrôler les autorisations accordées à mes utilisateurs lorsqu'ils accèdent à leurs comptes à l'aide d'AWS SSO ?

Lorsque vous accordez l'accès à vos utilisateurs, vous pouvez limiter leurs autorisations en sélectionnant un ensemble d'autorisations. Les ensembles d'autorisations sont un groupe d'autorisations que vous pouvez créer dans AWS SSO, en les modélisant en fonction de stratégies gérées par AWS pour les fonctions professionnelles ou de toute autre stratégie gérée par AWS. Les stratégies gérées par AWS pour les fonctions professionnelles sont conçues de manière à s'aligner étroitement sur les tâches courantes du secteur de l'informatique. Si nécessaire, vous pouvez entièrement personnaliser l'ensemble d'autorisations pour répondre à vos exigences en matière de sécurité. AWS SSO applique automatiquement ces autorisations aux comptes sélectionnés. Lorsque vous apportez des modifications aux ensembles d'autorisations, AWS SSO vous permet d'appliquer facilement ces dernières aux comptes concernés. Lorsque les utilisateurs accèdent aux comptes via le portail utilisateur AWS SSO, ces autorisations limitent leurs activités au sein de ces comptes. Vous pouvez également accorder plusieurs ensembles d'autorisations aux utilisateurs. Lorsqu'ils accèdent au compte via le portail utilisateur, ils peuvent choisir l'ensemble d'autorisations qu'ils souhaitent utiliser pour cette séance.

Comment automatiser la gestion des autorisations sur plusieurs comptes ?

AWS SSO fournit des API et le support AWS CloudFormation pour automatiser la gestion des autorisations dans les environnements multi-comptes, et récupérer les autorisations par programme à des fins d'audit et de gouvernance.

Pour quel compte AWS puis-je obtenir des informations d'identification pour l'interface de ligne de commande (CLI) AWS ?

Vous pouvez obtenir des informations d'identification pour la CLI AWS pour toutes les autorisations de compte et utilisateurs AWS que votre administrateur AWS SSO vous a attribuées. Ces informations d'identification pour la CLI peuvent être utilisées pour un accès par programmation au compte AWS.

Combien de temps les informations d'identification de l'interface de ligne de commande AWS sont-elles valides pour le portail utilisateur d'AWS SSO ?

Les informations d'identification pour la CLI AWS récupérées par le portail utilisateur d'AWS SSO sont valides pendant 60 minutes. Vous pouvez obtenir de nouvelles informations d'identification aussi souvent que nécessaire.

Accès par authentification unique (SSO) aux applications métier

Comment configurer l'authentification unique (SSO) sur les applications métier telles que Salesforce ?

Dans la console AWS SSO, accédez au volet des applications, choisissez « Configure new application » et sélectionnez une application dans la liste des applications cloud pré-intégrées à AWS SSO. Suivez les instructions à l'écran pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » pour terminer le processus.

Mon entreprise utilise des applications métier que ne figurent pas dans la liste des applications pré-intégrées à AWS SSO. Puis-je tout de même utiliser AWS SSO ?

Oui. Si votre application prend en charge le protocole SAML 2.0, vous pouvez la configurer en tant qu'application SAML 2.0 personnalisée. Dans la console AWS SSO, accédez au volet des applications et choisissez l'option « Configure new application », puis « Custom SAML 2.0 application ». Suivez les instructions pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » pour terminer le processus.

Mon application prend uniquement en charge le protocole OpenID Connect (OIDC). Puis-je l’utiliser avec AWS SSO ?

Non. AWS SSO prend uniquement en charge les applications basées sur le protocole SAML 2.0.

Est-ce qu'AWS SSO prend en charge l'authentification unique pour les applications mobiles et de bureau natives ?

Non. AWS SSO prend en charge l'authentification unique pour les applications métier uniquement depuis un navigateur Web.

Divers

Quelles données le service AWS SSO stockera-t-il en mon nom ?

AWS SSO stockera les données concernant l'attribution des comptes AWS et des applications cloud aux différents utilisateurs et groupes, ainsi que l'octroi des différentes autorisations d'accès aux comptes AWS. AWS SSO créera et gérera également les rôles IAM des comptes AWS individuels pour chaque ensemble d'autorisations auquel vous accordez l'accès aux utilisateurs.

Le service AWS SSO prend-il en charge l'authentification multi-facteurs (MFA) ?

Oui. Vous pouvez permettre ou exiger des utilisateurs qu’ils mettent en place une application d’authentification multifacteur sur leurs téléphones ou vous pouvez exiger des utilisateurs qu'ils fournissent un facteur supplémentaire pour se connecter à AWS SSO en exploitant un serveur RADIUS (Remote Authentication Dial-In User Service) et en configurant ce dernier afin qu'il fonctionne avec Active Directory ou le connecteur AD.

Comment mes employés peuvent-ils faire leurs premiers pas avec AWS SSO ?

Les employés peuvent démarrer avec AWS SSO en consultant le portail utilisateur AWS SSO qui est généré lorsque vous configurez votre source d'identité dans AWS SSO. Si vous gérez vos utilisateurs dans AWS SSO, vos employés peuvent utiliser leur adresse e-mail et leur mot de passe qu'ils ont configurés avec AWS SSO pour se connecter au portail utilisateur. Si vous connectez AWS SSO à Microsoft Active Directory ou à un fournisseur d'identité SAML 2.0, vos employés peuvent se connecter au portail utilisateur avec leurs informations d'identification d'entreprise existantes, puis afficher les comptes et applications qui leur sont attribués. Pour accéder à un compte ou à une application, les employés sélectionnent l'icône correspondante depuis le portail utilisateur AWS SSO.

Existe-t-il une API pour AWS SSO ?

Oui. AWS SSO fournit des API d'affectation de compte pour automatiser la gestion des autorisations dans les environnements multi-comptes, et récupérer les autorisations par programme à des fins d'audit et de gouvernance.

Prêt à vous lancer ?

S'inscrire à AWS Single Sign-On
D'autres questions ?
Nous contacter